• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

CloudOS 的master.server.crt过期怎么替换

1小时前提问
  • 0关注
  • 0收藏,35浏览
粉丝:0人 关注:0人

问题描述:

CloudOS 的master.server.crt过期怎么替换,CloudOS版本是5132

1 个回答
粉丝:23人 关注:2人

CloudOS E5132 master.server.crt 过期完整替换 / 续期方案
CloudOS E5132 底层基于 OpenShift,证书路径统一为/etc/origin/master/master.server.crt/master.server.key,分官方一键自动续期(推荐)、手动替换自有 CA 证书两套方案,集群所有 Master 节点均需操作。
前置检查(先确认过期状态)
bash
运行
# 查看证书过期时间
openssl x509 -in /etc/origin/master/master.server.crt -noout -dates
# 查看证书续期日志
cat /var/log/cert-renewal.log
方案一:官方内置脚本一键续期(优先,自动生成 5 年新证书,适配原生集群)
步骤 1:所有 Master 节点执行备份(必做)
bash
运行
cp -r /etc/origin/master /etc/origin/master_bak_$(date +%Y%m%d)
步骤 2:执行系统自带证书续期工具(所有 Master)
bash
运行
/usr/local/bin/cert-renewal
脚本会自动:
生成新的master.server.crt/master.server.key替换过期文件
更新 apiserver、controller、aggregator 代理全套配套证书
输出成功无报错即证书文件替换完成
步骤 3:重启 OpenShift 核心服务生效(所有 Master)
bash
运行
systemctl restart atomic-openshift-master-api
systemctl restart atomic-openshift-master-controllers
# 校验服务正常running
systemctl status atomic-openshift-master-api
systemctl status atomic-openshift-master-controllers
步骤 4:验证新证书有效期
bash
运行
openssl x509 -in /etc/origin/master/master.server.crt -noout -dates
# notAfter 自动延长5年,代表续期成功
步骤 5:配置自动定时续期(预防再次过期)
bash
运行
# 启用每月自动续期定时器
cat > /etc/systemd/system/cert-renewal.timer <<EOF
[Unit]
Description=Monthly CloudOS cert renew timer
[Timer]
OnCalendar=*-*-01 02:00:00
Persistent=true
[Install]
WantedBy=timers.target
EOF
systemctl daemon-reload
systemctl enable --now cert-renewal.timer
# 查看定时任务
systemctl list-timers | grep cert-renewal
方案二:手动替换企业自有 CA 颁发证书(客户自建根证书场景)
适用于需要统一企业 CA、不使用系统自签证书场景:
1、上传新证书到所有 Master
新文件命名必须严格匹配:
公钥证书:master.server.crt
私钥:master.server.key
上传至/etc/origin/master/目录,修复权限
bash
运行
# 权限必须匹配系统要求
chmod 600 /etc/origin/master/master.server.*
chown root:root /etc/origin/master/master.server.*
2、重启核心服务(同方案一)
bash
运行
systemctl restart atomic-openshift-master-api atomic-openshift-master-controllers
3、全节点同步证书(集群多 master 场景)
证书替换后需同步到所有计算 / 存储节点/etc/origin/node/相关客户端证书,否则节点无法接入集群。
三、故障排查(续期失败常见问题)
执行 cert-renewal 报错权限不足
全程使用 root 用户操作,禁止普通账号执行。
续期后页面依旧提示证书过期
浏览器清除缓存、清空浏览器证书缓存;或重启前端 tomcat 服务:
bash
运行
oscctl service restart tomcat
服务启动失败,证书校验异常
回滚备份目录恢复旧证书:
bash
运行
rm -rf /etc/origin/master
mv /etc/origin/master_bak_$(date +%Y%m%d) /etc/origin/master
systemctl restart atomic-openshift-master-api atomic-openshift-master-controllers
集群节点离线、无法通信
所有 Master 必须同步完成证书替换,单节点更新会导致节点间 TLS 握手失败。
极简操作总结
集群所有 Master 先备份证书目录;
优先执行/usr/local/bin/cert-renewal一键续期原生证书;
重启atomic-openshift-master-api/controller服务加载新证书;
验证证书有效期,配置每月自动续期避免再次过期;
自有企业 CA 证书需手动上传同名 crt/key,严格修复文件权限。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明